FireEye meldet Zero-Day-Lücke in Internet Explorer

Sicherheitsforscher von FireEye haben auf einer manipulierten Website einen Exploit für eine Zero-Day-Lücke in Internet Explorer entdeckt. Die in den USA gehostete Website kann, wenn sie mit dem Microsoft-Browser angezeigt werden, per Drive-by-Download eine Schadsoftware einschleusen und ausführen. Nach Angaben des Unternehmens werden dabei zwei bisher unbekannte Schwachstellen ausgenutzt.

Die erste Anfälligkeit erlaubt es, den Zeitstempel der Windows-Bibliothek „msvcrt.dll“ auszulesen. Diese Information wird anschließend an den Server der Hacker übermittelt, um den eigentlichen Exploit an die vorhandene Version der Datei msvcrt.dll anzupassen. In dieser Datei wiederum steckt ein Speicherfehler, der eine Remotecodeausführung ermöglicht.

Der Speicherfehler ist FireEye zufolge auf Windows XP mit IE7 und 8 sowie Windows 7 mit IE9 ausgerichtet. Zudem funktioniere der Exploit bisher nur mit englischsprachigen Versionen des Browsers. „Wir nehmen an, dass der Exploit einfach verändert werden kann, um andere Sprachen zu verwenden“, heißt es in einem Blogeintrag von FireEye. „Basierend auf unserer Analyse betrifft die Schwachstelle Internet Explorer 7, 8, 9 und 10.“

In einem zweiten Blogeintrag nennt das Unternehmen weitere Details zu dem Angriff, bei dem die Zero-Day-Lücke zum Einsatz gekommen ist. Bei der manipulierten Website soll es sich um eine „strategisch wichtige Site“ handeln, die „Besucher anzieht, die wahrscheinlich an nationaler und internationaler Sicherheitspolitik interessiert sind“.

Der Schadcode werde zudem nicht sofort auf die Festplatte geschrieben, was einen forensischen Nachweis eines Angriffs erschwere, so FireEye weiter. Stattdessen werde der Code direkt in den Speicher eingeschleust. Diese Methode sei „außergewöhnlich versiert“ und nur schwer zu entdecken.

Eine Stellungnahme von Microsoft liegt bisher nicht vor. FireEye hat nach eigenen Angaben das Security-Team des Softwarekonzerns über seine Forschungsergebnisse informiert. Die Folgen eines Angriffs könnten mithilfe von Microsofts Enhanced Mitigation Experience Toolkit (EMET) minimiert werden.

Microsoft selbst hatte in der vergangenen Woche auf eine Zero-Day-Lücke in Windows, Office und Lync hingewiesen, die für zielgerichtete Angriffe auf Organisationen in Südasien verwendet wird. Wann diese Anfälligkeit beseitigt wird, ist nicht bekannt. Microsofts November-Patchday bringt einer Vorankündigung zufolge keinen Fix für die Lücke.

[mit Material von Larry Seltzer, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

NiPoGi AM06 PRO Mini PC: Perfekte Kombination aus Leistung, Flexibilität und Portabilität

Kostengünstiger Mini-PC mit AMD Ryzen 7 5825U-Prozessor, 16 GB Arbeitsspeicher (RAM) und 512 GB SSD.

48 Minuten ago

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

3 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

3 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

4 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

4 Tagen ago